NIS2 pour les industriels : la frontière IT/OT décidera de votre audit

NIS2 pour les industriels : la frontière IT/OT décidera de votre audit
Un producteur alimentaire en Flandre a reconstruit l'intégralité de ses règles de pare-feu deux semaines avant son audit NIS2. La raison : un réseau à plat unique où le VLAN bureautique, le serveur ERP et un automate (PLC) vieux de douze ans pilotant une ligne de conditionnement se trouvaient tous dans le même domaine de diffusion. Une seule facture de phishing sur un ordinateur portable commercial aurait pu atteindre l'atelier de production en deux sauts. L'auditeur aurait appelé cela exactement ce que c'est — un risque non maîtrisé au titre de l'Article 21.
C'est le problème avec lequel la plupart des industriels abordent NIS2. Ils le traitent comme un exercice de conformité IT et oublient que la directive couvre explicitement la technologie opérationnelle qui pilote leurs machines. Si vous conseillez des clients industriels, la frontière IT/OT est le domaine où vous pouvez apporter le plus de valeur — et où une configuration bâclée fera échouer une compliance posture par ailleurs correcte.
L'industrie manufacturière est dans le périmètre, et la plupart des exploitants l'ignorent encore
NIS2 classe l'industrie manufacturière comme un secteur d'entités important. Cela couvre les entreprises produisant des dispositifs médicaux, de l'électronique, des machines, des véhicules à moteur et certains produits alimentaires. Le seuil est le seuil standard : plus de 50 salariés, ou un chiffre d'affaires annuel supérieur à 10 millions d'euros.
Les entités important sont soumises aux mêmes obligations de gestion des risques de l'Article 21 que les entités essential. La différence réside dans la supervision. Les entités essential font l'objet d'inspections proactives ; les entités important relèvent d'une supervision ex post — les autorités interviennent dès qu'il existe une preuve qu'un problème est survenu. Cela paraît plus léger jusqu'à ce que vous réalisiez que cela signifie généralement que l'autorité vous examine déjà parce que vous avez subi un incident. Le niveau d'exigence n'est pas inférieur. Le contrôle arrive simplement au pire moment possible.
Beaucoup de directeurs d'usine supposent : « nous fabriquons des pompes, pas des logiciels, NIS2 ne nous concerne pas ». Si. La directive définit les systèmes OT comme partie intégrante de l'infrastructure numérique critique. Les automates (PLC), IHM (HMI) et systèmes SCADA de l'atelier sont clairement dans le périmètre.
La NIS2 s'applique-t-elle à votre organisation ?
1Votre organisation opère-t-elle dans un secteur essentiel ou important (énergie, transport, santé, infrastructure numérique, etc.) ?
Oui▼Non▼2Votre organisation compte-t-elle 50 employés ou plus, ou réalise-t-elle un chiffre d'affaires annuel supérieur à 10 millions d'euros ?
✗La NIS2 ne s'applique pas directement à votre organisation.
Oui▼Non▼✓La NIS2 s'applique à votre organisation en tant qu'entité essentielle ou importante.
3Votre organisation est-elle un opérateur d'infrastructure critique ou un prestataire de services de confiance qualifié ?
Oui▼!La NIS2 pourrait s'appliquer à votre organisation — consultez un juriste pour confirmer votre statut.
1Votre organisation opère-t-elle dans un secteur essentiel ou important (énergie, transport, santé, infrastructure numérique, etc.) ?
Oui ↓Non →2Votre organisation compte-t-elle 50 employés ou plus, ou réalise-t-elle un chiffre d'affaires annuel supérieur à 10 millions d'euros ?
Oui ↓Non →3Votre organisation est-elle un opérateur d'infrastructure critique ou un prestataire de services de confiance qualifié ?
Oui ↓Non →✗La NIS2 ne s'applique pas directement à votre organisation.
✓La NIS2 s'applique à votre organisation en tant qu'entité essentielle ou importante.
!La NIS2 pourrait s'appliquer à votre organisation — consultez un juriste pour confirmer votre statut.
S'appliquePossiblement applicableNe s'applique pas
Les dix mesures de l'Article 21 s'appliquent à l'atelier, pas seulement au bureau
Lorsqu'un client lit la liste de l'Article 21 — analyse des risques, traitement des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, cryptographie, contrôle d'accès, MFA, développement sécurisé, formation et évaluation de l'efficacité — il la projette instinctivement sur son parc IT. C'est le piège.
Chacune de ces mesures a une dimension OT. Le contrôle d'accès ne concerne pas seulement le contrôleur de domaine ; il concerne qui peut se connecter à l'IHM de la ligne 3. La continuité d'activité ne concerne pas seulement la restauration de la messagerie ; elle concerne votre capacité à continuer de produire lorsqu'un automate est compromis. La cryptographie et les communications sécurisées s'appliquent à la liaison de données entre vos automates et votre ERP.
L'ENISA Technical Implementation Guidance, publiée en juin 2025, compte 170 pages et traduit l'Implementing Regulation (EU) 2024/2690 en mesures concrètes et démontrables sur 13 domaines thématiques. Bien que ce règlement ne soit contraignant que pour des secteurs numériques spécifiques, ce guide est la référence la plus claire disponible pour ce que « approprié et proportionné » signifie réellement. Utilisez-le comme standard de référence pour les clients à forte composante OT, même là où il n'est pas strictement obligatoire — les auditeurs le reconnaîtront.
Article 21 — 10 Mesures de Cybersécurité NIS2
Article 21
10 Mesures de Cybersécurité
Gouvernance & Stratégie
1Analyse des risques & politiques de sécurité de l'information6Évaluation de l'efficacité des mesures de sécuritéIncidents & Continuité
2Gestion des incidents & notification3Continuité des activités & reprise après sinistreChaîne d'approvisionnement & Systèmes
4Sécurité de la chaîne d'approvisionnement5Sécurité dans le développement des systèmes d'informationContrôles Techniques
8Cryptographie & chiffrement10Authentification multifacteur & communications sécuriséesPersonnel & Actifs
7Cyber-hygiène & formation9Sécurité RH & contrôle d'accès
La segmentation réseau est la mesure que les auditeurs examinent en premier
Si vous faites une seule chose pour un client industriel avant son premier audit, segmentez les réseaux IT et OT. Un réseau à plat est le moyen le plus rapide d'échouer à une analyse des risques, car il signifie qu'un seul terminal compromis, où qu'il soit, atteint tout.
L'Article 21 ne nomme pas la segmentation réseau comme mesure numérotée, mais elle découle directement des obligations de gestion des risques et de contrôle d'accès. En pratique, les auditeurs la considèrent comme une attente de base pour tout environnement comportant des systèmes de production. Le langage de segmentation et de contrôle d'accès de la directive se projette presque un à un sur le modèle zone-and-conduit de l'IEC 62443 — le cadre par rapport auquel l'auditeur de votre client se réfère le plus probablement.
Une architecture cible exploitable pour une usine type ressemble à ceci. Le segment OT contient les automates, IHM et machines de production, séparés physiquement ou logiquement du réseau bureautique. La connexion au serveur ERP est limitée et idéalement unidirectionnelle — les données de production sortent, rien n'entre sans sollicitation. Le segment OT n'a pas d'accès direct à Internet. L'accès distant des fournisseurs aux machines passe par un jump host contrôlé, et non par un VPN à plat qui dépose un technicien sur le même sous-réseau que les automates.
C'est aussi là que se trouve le problème du legacy. Les usines exploitent des automates vieux de dix ou quinze ans, impossibles à patcher et jamais conçus pour être exposés au réseau. Vous ne pouvez pas les retirer. La segmentation est la mesure compensatoire qui maintient en service un actif non patchable sans qu'il devienne la voie de compromission. Documentez-le ainsi et l'auditeur voit un risque maîtrisé plutôt qu'un risque ignoré.
La déclaration d'incident ne s'arrête pas pour la ligne de production
Les industriels hésitent sur la déclaration d'incident parce qu'arrêter une ligne coûte de l'argent à la minute. Les délais s'en moquent. Un incident significatif déclenche une alerte précoce sous 24 heures, une notification complète sous 72 heures et un rapport final sous 30 jours — la même horloge qui s'applique à une banque ou à un hôpital.
Le difficile pour les environnements OT, c'est la détection. Si votre client n'a aucune surveillance sur le réseau de production, il ne saura qu'un incident est significatif qu'une fois la production déjà perturbée — et à ce moment-là, la fenêtre de 24 heures défile déjà. La surveillance continue du segment OT n'est pas un confort ; c'est ce qui rend l'obligation de déclaration réalisable tout court. Construisez la capacité de détection et les délais de déclaration deviennent gérables. Faites-en l'impasse et votre client déclare à l'aveugle, en retard, ou pas du tout.
Calendrier de Notification des Incidents NIS2
24hAlerte Précoce
Notifiez l'autorité compétente (CSIRT/ANC) dans les 24 heures suivant la prise de connaissance d'un incident significatif.
Étape 172hNotification d'Incident
Soumettez une notification détaillée dans les 72 heures avec une première évaluation de la gravité, de l'impact et des indicateurs de compromission.
Étape 21moRapport Final
Remettez un rapport final complet dans un délai d'un mois couvrant l'analyse des causes, les mesures prises et l'impact transfrontalier.
Étape 324hAlerte Précoce
Notifiez l'autorité compétente (CSIRT/ANC) dans les 24 heures suivant la prise de connaissance d'un incident significatif.
72hNotification d'Incident
Soumettez une notification détaillée dans les 72 heures avec une première évaluation de la gravité, de l'impact et des indicateurs de compromission.
1moRapport Final
Remettez un rapport final complet dans un délai d'un mois couvrant l'analyse des causes, les mesures prises et l'impact transfrontalier.
Que faire avant le 30 juin 2026
La première échéance d'audit NIS2 pour les entités dans le périmètre est le 30 juin 2026. Pour un client industriel partant d'un réseau à plat, c'est serré mais pas impossible si vous le séquencez correctement.
Commencez par un inventaire des actifs de l'environnement OT — vous ne pouvez pas segmenter ni protéger ce que vous n'avez pas cartographié, et la plupart des usines n'ont aucun inventaire à jour de leurs automates. Tracez ensuite les frontières de zones : bureau, ERP/DMZ et OT, avec des conduits documentés entre elles. Mettez en œuvre la séparation IT/OT et verrouillez l'accès distant via un jump host avec MFA. Superposez la surveillance sur le segment OT pour que la détection d'incident soit réellement possible. Enfin, documentez chaque mesure compensatoire pour les actifs legacy que vous ne pouvez pas patcher, car cette documentation transforme le signal d'alerte d'un auditeur en risque accepté.
Les clients qui traitent NIS2 comme un pur projet IT réussiront les contrôles côté bureau et échoueront à l'atelier. Ceux qui maîtrisent la frontière IT/OT entrent dans l'audit avec la question la plus difficile déjà résolue.
Si vous voulez évaluer rapidement où se situe réellement un client industriel face à l'Article 21 — y compris les mesures OT que la plupart des évaluations négligent — faites-le passer par le NIS2 readiness quick scan. Il révèle les lacunes de segmentation et OT avant qu'un auditeur ne le fasse.
Pour les mesures sous-jacentes en détail, voir notre décomposition des dix mesures de l'Article 21, et pour les clients qui doutent encore d'être concernés, NIS2 s'applique-t-il à moi.
